将密码存储在xml security-context.xml或数据库中的最佳实践？

Question

美好的一天开发商。 我有问题。在我的web应用程序中，我使用弹簧安全。我有2个简单的角色：用户，管理员。对于这些规则中的每一个，我都有自己的密码，因为所有人对我的网络应用都有不同的访问权限。因此，我现在将所有密码存储在SHA-256哈希编码的security.xml中：

<security:http pattern="/search" security="none" /> 

    <security:http auto-config="true" > 

    <security:session-management session-fixation-protection="migrateSession"/> 

    <security:intercept-url pattern="/input" access="ROLE_ADMIN, ROLE_USER"/> 
    <security:intercept-url pattern="/delete" access="ROLE_ADMIN"/> 

    <security:form-login login-page="/login" 
         authentication-failure-url="/loginfail" 
         default-target-url="/input" 
         always-use-default-target="true" 
         username-parameter="j_username" 
         password-parameter="j_password" /> 

    <security:logout logout-success-url="/logout"/> 

     <security:session-management> 
      <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" /> 
     </security:session-management> 

    </security:http> 


    <security:authentication-manager> 
    <security:authentication-provider> 
    <security:password-encoder hash="sha-256"/> 
    <security:user-service> 
    <security:user name="user" password="04f8996da763b7a969b1028ee3007569eaf3a635486ddab211d512c85b9df8fb" authorities="ROLE_USER"/> 
    <security:user name="admin" password="8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918" authorities="ROLE_ADMIN"/> 
    </security:user-service> 
    </security:authentication-provider> 
    </security:authentication-manager> 

这真的是个好主意吗？也许需要将它们存储在DB（例如H2）中以获得更多保护。

<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"> <!-- Using and configuring C3P0 proxy --> 
     <property name="driverClass"><value>org.h2.Driver</value></property> 
     <property name="jdbcUrl"><value>jdbc:h2:/home/vadim/workspace-sts-3.1.0.RELEASE/h2/EDUCATION</value></property> 
     <property name="user"><value>sa</value></property> 
     <property name="password" ><value></value></property> 
     <property name="initialPoolSize"><value>3</value></property> <!-- Number of Connections a pool will try to acquire upon startup --> 
     <property name="minPoolSize"><value>1</value></property> <!-- Minimum connection pool size --> 
     <property name="maxPoolSize"><value>20</value></property> <!-- Max connection pool size --> 
     <property name="maxConnectionAge"><value>3600</value></property> <!-- Set max connection age to 1 hour, after it will release --> 
     <property name="maxIdleTime"><value>600</value></property> <!-- 10 minutes connection can stay unused before be discarded --> 
     <property name="checkoutTimeout"><value>200000</value></property> <!-- Each what time check for unused connections --> 
     </bean> 

现在我的密码是空白的，但我应该有一个。如何保护它？

谢谢。

Answer 1

使用新BCryptPasswordEncoder：

http://static.springsource.org/spring-security/site/docs/3.1.x/apidocs/org/springframework/security/crypto/bcrypt/BCryptPasswordEncoder.html

它会自动盐您的密码给你。

我推荐BCrypt，因为它强壮，速度慢，并且没有已知的弱点。“缓慢”实际上是你想要的一种哈希算法的特性，因为这意味着如果有人窃取你的密码需要更长的时间才能破解。

SHA 256是weakened。 MD5肯定是坏了。

将用户/散列密码存储在xml文件中的好处很简单。但是，您需要重新启动应用程序才能进行更改。另外，没有用户自我管理。

BCryptPasswordEncoder上有一个encode方法，它可以让您对密码进行编码以存储在xml或数据库中。

Answer 2

当你存储一个密码时，你至少必须对其进行散列（多次，例如1000次）并对其进行加密。

散列几次是非常重要的，因为如果有人试图啃密码，他还需要尽可能多地散列输入，这样做会让黑客宽松时间。

Salting可防止黑客使用散列密码的反向表。

您还应该为每个用户使用不同的盐。

在这里，您的密码在配置文件中加密时没有任何盐分，我只需使用反转表来查找相应的密码。

编辑：其实，我试过。您的第一个密码是“用户”。您的第二个密码是“admin”。我得到了他们使用这个简单的公开可用reverse table。

Answer 3

没有两个用户硬编码到这两个角色。每个使用该应用程序的人都应该是拥有自己的用户名和密码的个人用户。个人用户将具有一个或两个角色。

考虑到这一点，很明显你需要将用户数据存储在数据库中。你的用户表应该有用户名，散列密码，盐和你需要的其他字段。

您应该有另一个包含角色的表以及另一个将用户映射到角色的表。

创建用户时，应使用加密随机生成器（如SecureRandom）生成盐。散列密码是使用散列算法创建的，salt，spring security有这样做（它也支持多次散列迭代）。

我会推荐阅读春天的安全文档，特别是http://static.springsource.org/spring-security/site/docs/3.1.x/reference/ns-config.html#ns-auth-providers